(三)、基于Spring Security OAuth2 实现 implicit + jwt 方式的单点登录

最新推荐文章于 2024-07-24 17:12:13 发布
最新推荐文章于 2024-07-24 17:12:13 发布
阅读量2.3k 收藏
点赞数 1
分类专栏: Spring Security OAuth2 程序人生 文章标签: jwt implicit security oauth2
本文为博主原创文章,转载请附上博文链接,谢谢!
本文链接:https://blog.csdn.net/qq_30062125/article/details/86715392
版权

更多相关文章请见:Spring Security文章目录

1、简介

某些场景下 单点登录系统sso 和 应用系统sso-client直接网络无法联通,可以考虑直接使用implicit方式的oauth2 + jwt 进行实现。

实现目标:

  1. 多应用系统单点登录功能(一次登录,访问多个系统,默认通过sso会话实现登录保持,集群环境可以考虑将session也转成token)。
  2. 应用系统 token 鉴权访问,一个token,可以访问所有应用系统资源。

注:authorization_code 方式,多了code换取token步骤,需要应用系统能够访问到单点登录系统。

1.1、oauth2 简介:

需要注意几个角色:

  • 授权系统:发放token的系统,就是我们的sso。
  • 资源系统(应用系统):使用token校验权限的系统,就是我们的sso-client。
  • 用户:页面操作人,持有用户名、密码。

五种场景

  • authorization_code:授权码类型,授权系统针对登录用户下发code,应用系统拿着code去授权系统换取token。
  • implicit:隐式授权类型。authorization_code的简化类型,授权系统针对登录系统直接下发token,302 跳转到应用系统url。
  • password:资源所有者(即用户)密码类型。应用系统采集到用户名密码,调用授权系统获取token。
  • client_credentials:客户端凭据(客户端ID以及Key)类型。没有用户参与,应用系统单纯的使用授权系统分配的凭证访问授权系统。
  • refresh_token:通过授权获得的刷新令牌 来获取 新的令牌。

1.1、implicit 简单介绍

参考: RFC规范
流程图如下:

 +----------+
 | Resource |
 |  Owner   |
 |          |
 +----------+
      ^
      |
     (B)
 +----|-----+          Client Identifier     +---------------+
 |         -+----(A)-- & Redirection URI --->|               |
 |  User-   |                                | Authorization |
 |  Agent  -|----(B)-- User authenticates -->|     Server    |
 |          |                                |               |
 |          |<---(C)--- Redirection URI ----<|               |
 |          |          with Access Token     +---------------+
 |          |            in Fragment
 |          |                                +---------------+
 |          |----(D)--- Redirection URI ---->|   Web-Hosted  |
 |          |          without Fragment      |     Client    |
 |          |                                |    Resource   |
 |     (F)  |<---(E)------- Script ---------<|               |
 |          |                                +---------------+
 +-|--------+
   |    |
  (A)  (G) Access Token
   |    |
   ^    v
 +---------+
 |         |
 |  Client |
 |         |
 +---------+

简要说明:

  • Resource Owner:用户,用户名、密码持有人。
  • User-Agent:可以简要理解为浏览器。
  • Client:资源调用请求发起方,对于我们的demo来说,发起请求的浏览器就是客户端。
  • Authorization Server:授权系统,包含用户名密码采集和验证。
  • Web-Hosted Client Resource:资源系统,提供受保护的资源。

所以,对于我们来说,实际流程大体为:
在这里插入图片描述

其中 sso的 登录判断 和 上一步的url 默认都是通过session来实现的,如果想要集群化,可以将这两步改造成外部缓存(如 redis),或者交给客户端保持(如:jwt 生成 token 存放在 cookie )。

最低0.47元/天 解锁文章
这是一个懒人
关注
专栏目录
Spring Security OAuth2基于JWT实现单点登录
weixin_38927257的博客
11-22 1416
文章目录引言Security OAuth2 单点登录流程示意图Security OAuth2 实现单点登录项目结构sso-server认证服务器security配置SsoUserDetailsServiceapplication.ymlsso-client1SsoClient1Applicationapplication.ymlsso-client2同sso-client1一致 引言 单点登录...
Spring Security源码分析十二:Spring Security OAuth2基于JWT实现单点登录
郑龙飞
01-25 4967
单点登录(英语:Single sign-on,缩写为 SSO),又译为单一签入,一种对于许多相互关连,但是又是各自独立的软件系统,提供访问控制的属性。当拥有这项属性时,当用户登录时,就可以获取所有系统的访问权限,不用对每个单一系统都逐一登录。这项功能通常是以轻型目录访问协议(LDAP)来实现,在服务器上会将用户信息存储到LDAP数据库中。相同的,单一注销(single sign-off)就是指,只需
spring security oauth2以及jwt实现sso单点登陆的功能
05-07
该资源实现了一个sso单点登陆的功能,类似于在淘宝网登陆之后可以不需要登陆天猫即可访问天猫网;使用了spring security oauth2以及jwt
spring中如何实现参数隐式传递_Spring Security OAuth2 Demo —— 隐式授权模式(Implicit)...
weixin_39893042的博客
12-24 350
本文可以转载,但请注明出处https://www.cnblogs.com/hellxz/p/oauth2_impilit_pattern.html写在前面在文章OAuth 2.0 概念及授权流程梳理 中我们谈到OAuth 2.0的概念与流程,上一篇文章Spring Security OAuth2 Demo —— 授权码模式简单演示了OAuth2的授权码模式流程,本文继续整理隐式授权模式相关内容写文...
Spring SecurityOAuth2:构建安全Web应用的强大组合
最新发布
Innocence_0的博客
07-24 1329
通过深入学习并实践SpringSecurityOAuth2的整合技术,开发者能够有效应对复杂的业务场景,为应用程序提供严密的身份验证和授权机制。持续关注最新的安全研究和技术动态,并在实际项目中不断调整和完善安全策略,才能确保系统始终处于一个高效、稳定且安全的状态。同时,也鼓励读者将这些原则应用于微服务架构、多租户环境以及其他复杂系统的设计与实施过程中。
Oauth2授权模式访问之implicit模式(implicit)访问
面朝大海,春暖花开
06-08 9693
Oauth2授权模式访问之implicit模式(implicit)访问 implicit模式和授权码模式(authorization_code)访问差不多,相比之下,少了一步获取code的步骤,而是直接获取token 获取token http://localhost:8080/oauth/authorize?response_type=token&amp;amp;client_id=bana...
基于JWT OAUTH2 SpringSecurity单点登录
01-30
基于JWT OAUTH2 SpringSecurity单点登录 . 单点登录流: 1. 访问client1 2. `client1`将请求导向`sso-server` 3. 同意授权 4. 携带授权码`code`返回`client1` 5. `client1`拿着授权码请求令牌 6. 返回`JWT`令牌 7. `client1`解析令牌并登录 8. `client1`访问`client2` 9. `client2`将请求导向`sso-server` 10. 同意授权 11. 携带授权码`code`返回`client2` 12. `client2`拿着授权码请求令牌 13. 返回`JWT`令牌 14. `client2`解析令牌并登录
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring SecurityOAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring SecuritySpring框架的一个模块,专门...
Spring Security + OAuth2.0 + JWT 实现单点登录
随笔
07-21 4230
使用 Spring Security + OAuth2.0 + JWT 实现单点登录
springboot-oauth2-angular2:具有Spring Securityoauth2和IMPLICIT模式的SpringBoot应用程序
05-17
Spring Oauth2 angular 2,4,5应用 Spring Oauth2 Angular 2,4,5 App的示例应用程序 您可以在我的博客上找到有关此应用程序的一些注意事项: 应用程序使用SpringBoot 2,Spring Security 5,angular-oauth2-oidc库提供对angular oauth的支持。 它为以下方面提供支持: - SpringBoot Oauth2 resource server - SpringBoot Oauth2 authorization server - Angular2 access to backend data - IMPLICIT flow support with token silent refresh - custom spring login page 它包含两个模块后端和前端 要安装和运行应用程
jwt实现oauth2.0 java_SpringSecurity实现OAuth2+JWT
weixin_28696185的博客
02-17 320
一、基本概念1.1 认证方式1.1.1 基于session方式认证他的流程是:用户认证成功后,服务端生成相应的用户数据保存在session中,发给客户端的session_id保存在cookie中。这样用户请求时只要带上session_id就可以验证服务端是否存在session,以此完成用户的校验。当用户退出系统或session过期时,客户端的session_id也就无效了。1.1.2 基于toke...
SpringSecurity + oauth2 + jwt
记录自己的学习,有不对的地方欢迎指正!
02-09 329
SpringSecurity + oauth2 + jwt的基本搭建 包括环境搭建,认、证模块、资源模块
oauth:implicit
ry的专栏
04-15 428
二、 隐式授权 仅需临时访问的场景 用户会定期在API提供者那里进行登录 OAuth客户端运行在浏览器中(Javascript、Flash等) 浏览器绝对可信,因为该类型可能会将访问令牌泄露给恶意用户或应用程序 1. 让用户明白所做的操作并请求认证 这一步与授权码认证模式中的操作类似,即当牵涉到OAuth认证时,应首先让用户明确该操作。然后将用户引导至授权
Spring cloud入门-OAuth 2.0(四)授权之基于JWT完成单点登录
weixin_42324034的博客
11-02 1425
授权之基于JWT完成单点登录摘要单点登录简介创建oauth2-client网页单点服务验证服务调用验证 摘要 Spring Cloud Security 为构建安全的SpringBoot应用提供了一系列解决方案,结合Oauth2可以实现单点登录功能,本文将对其单点登录用法进行详细介绍。 单点登录简介 单点登录简称SSO,只的是当有多个系统需要登录时,用户只需要登录一个系统就无须登录其他的系统 创建oauth2-client 这里新建一个oauth2-client作为客服端,使用oauth2-jwt-ser
SpringSecurtiy OAuth2 (3) Implicit Grant - 隐式模式
O_o
06-30 958
本篇介绍 Spring Security OAuth2 的 隐式模式
spring security实战 4-使用隐式模式(implicit grant type)保护资源
weixin_33802505的博客
06-26 215
写在开篇 本改编课程基于《OAuth 2.0 Cookbook_Protect Your Web Applications using Spring Security-Packt Publishing(2017)》。这本书侧重通过一个个精简的小例子来学习,如何使用spring securityoauth2.0来保护你的资源,。 课程从第...
(四)OAuth 2.0 隐式授权模式(Implicit
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
05-13 1754
前言 隐式授权模式要求:用户登录并对第方应用进行授权,直接返回访问token,通过token访问资源。相比授权码模式,它少了一次授权码的颁发与客户端使用授权码换取token的过程。 隐式授权模式适用场景 适用场景有以下几个条件: 用户参与:使用隐式授权需要与用户交互,用户对授权服务器进行登录与授权。 单页应用:SPA前端,没有后端或者后端属于授权方。 客户端密码:访问授权时,不需要带第方应用secret,前提是资源服务校验token使用的client信息与客户端(第方应用)不同,且配置了secret
springsecurity+oauth2+jwt实现单点登录
12-16
Spring Security 是一个功能强大的身份验证和权限控制框架,OAuth2 是一个授权框架,JWT(JSON Web Token)是一种用于跨域身份验证的开放标准。当它们结合在一起时,可以实现单点登录(SSO)功能。 首先,Spring Security 用于处理用户认证和授权,可以通过用户名密码登录或者其他方式获取访问令牌。然后,OAuth2 提供了标准的授权流程,以确保用户可以安全地获取访问令牌,并且在需要时进行刷新。JWT 则是一种用于在不同系统之间安全传输信息的方式,通常用于在不同系统之间传递身份验证信息。当用户成功登录并获得访问令牌后,可以将访问令牌嵌入在 JWT 中,然后将 JWT 传递给需要进行单点登录的其他系统。 通过这种方式,用户只需要在一个系统中登录成功后,就可以在其他系统中使用同一个访问令牌进行身份验证,从而实现单点登录的功能。同时,由于使用了标准的 OAuth2 和 JWT,可以确保用户的身份验证与授权是安全可靠的。 总之,通过结合使用 Spring SecurityOAuth2 和 JWT,可以实现单点登录功能,提供更加便捷、安全的用户体验。同时,也可以方便地集成其他系统,实现统一的用户身份验证和授权管理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值